‼️ Зловмисники розгорнули атаку, використавши емблему Національного університ…
‼️ Зловмисники розгорнули атаку, використавши емблему Національного університету оборони України – аналіз ????
????️ Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA виявила та дослідила факт кібератаки групи UAC-0057 (GhostWriter) на одну із державних організацій України.
Спеціалісти CERT-UA виявили PPT-документ «daewdfq342r.ppt», що містить макрос та зображення-мініатюру з емблемою Національного університету оборони України імені Івана Черняховського.
У випадку відкриття документу та активації макросу на комп’ютері жертви буде створений виконуваний файл, а також файл-ярлик, призначений для запуску останнього. Цей файл класифіковано як шкідливу програму PicassoLoader, що типово використовується групою UAC-0057 (GhostWriter). Програма призначена для завантаження зображення, його дешифрування та запуску отриманого пейлоаду.
У розглянутому інциденті PicassoLoader забезпечить завантаження і запуск .NET-дроперу, що здійснить дешифрування та запуск виконуваного файлу «PhotoMetadataHandler.dll». Останній, своєю чергою, виконає дешифрування та запуск шкідливої програми Cobalt Strike Beacon на комп’ютері жертви.
У CERT-UA також зауважують: дати компіляції програм та створення (модифікації) PPT-документу свідчать про те, що атаку було ініційовано не пізніше 9 червня 2023 року. Сервери управління шкідливою програмою розміщені в рф, проте доменні імена «сховані» за Cloudflare.
ℹ️ Загальна інформація щодо атаки та індикатори кіберзагроз доступні за посиланням ????
???? https://cert.gov.ua/article/4555802
